O laboratório regional da Trend Micro detectou uma tentativa de ataque por meio da engine de New Domain do produto Deep Discovery. Responsável por gerar alertas quando um domínio novo é utilizado, a técnica New Domain é bastante utilizada atualmente para evasão de tecnologias baseadas em reputação de URLs.
O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox. O malware foi classificado como Banload e tem como objetivo o roubo de dados bancários das vítimas infectadas.
Em uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, geralmente usado para phishing, o atacante enviou um endereço que direcionava o usuário ao download do arquivo malicioso.
A primeira detecção feita pelo Deep Discovery Inspector foi a chegada de um e-mail com uma URL utilizando um domínio novo na base de reputação da Trend Micro.
O atacante usou engenharia social para fazer com que as vítimas clicassem no link enviado e fossem infectadas. O e-mail foi identificado com o seguinte assunto: “Segue o comprovante de depósito”.
Na sequência, após a vítima ser infectada, iniciava-se a comunicação com o servidor de comando e controle do atacante e a partir desta fase, o protocolo utilizado na comunicação entre a máquina infectada e a comunicação C&C é HTTP.
A Trend Micro informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link já foi retirado do ar.
